Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Rückwärts wird ein Virus draus

Schädlinge verschleiern ihren Dateinamen mit speziellen Unicode-Zeichen, die von rechts nach links dargestellt werden und damit die verräterische Dateikennung verbergen, um wie ein harmloses Dokument auszusehen.

In Pocket speichern vorlesen Druckansicht 381 Kommentare lesen
Lesezeit: 2 Min.
Security
Von

Windows kann Von-Rechts-nach-Links standardmäßig seit Vista.

(Bild: Norman)

Der AV-Hersteller Norman hat Schädlinge entdeckt, die ihren Dateinamen mit speziellen Unicode-Zeichen verschleiern. Dabei zeigt dann das Mail-Programm oder der Windows Explorer etwas wie exe.importantdocument.doc an. Dahinter verbirgt sich jedoch eine ausführbare EXE-Datei, die das System auch nach wie vor als solche behandelt und auf Doppelklick startet.

Als Ursache macht Normans-Virenanalyst Snorre Fagerland Unicode-Steuerzeichen wie 0x202E (right-to-left override) und 0x202B (right-to-left embedding) aus. Richtig im Dateinamen platziert, sorgen sie dafür, dass aus cod.stnemucodtnatropmi.exe plötzlich ein "wichtiges Dokument" wird. Das verräterische "exe" am Anfang lässt sich noch weiter verbergen. So wird aus

 
[RTLO]cod.yrammusevituc[LTRO]n1c[LTRO].exe

in der Explorer-Anzeige das scheinbar harmlose n1c.executivesummary.doc, das kaum noch Misstrauen erregen dürfte. Das System sieht jedoch immer noch die Dateiendung ".exe" und behandelt die Datei entsprechend.

Auch Ubuntu reagiert auf die Unicode-Steuerzeichen.

Schriften, die von Rechts nach Links zu lesen und anzuzeigen sind, unterstützt Windows seit Vista; unter Windows XP ist dazu ein Erweiterungspaket erforderlich. Doch das Problem ist keineswegs auf Windows beschränkt. Auch Linux kann prinzipiell mit Unicode umgehen und zeigte sich in den Tests von heise Security anfällig für die gleichen Verschleierungstricks. So zeigt etwa das ZIP-Utility und der Eigenschafts-Dialog eines Ubuntu-Desktops (10.4 LTS) ebenfalls eine scheinbare doc-Datei-Datei an, die jedoch als EXE-Datei behandelt und mit Wine verknüpft wird.

Bei MacOS X gehört Unicode-Unterstützung ebenfalls zum Lieferumfang.

Auch Mac OS X zeigte die Zeichen korrekt nach Unicode-Standard an – also in der scheinbar harmlosen DOC-Variante. Allerdings spielen beim Mac und Linux die Dateinamen keine so tragende Rolle wie unter Windows.

Das grundsätzliche Problem ist auch keineswegs neu. Bereits 2007 berichtete heise Security über Täuschende Dateinamen unter Vista – damals allerdings noch als eher theoretisches Risiko. Wie Normans Analysen zeigen, wird der Trick jetzt von Malware-Autoren aufgegriffen und Anwender können sich somit zukünftig nicht mehr auf die angezeigten Dateinamen verlassen. Denn wenn das System beim Anzeigen möglicherweise gleich mehrfach die Richtung wechselt, können höchstens noch Palindrom-Experten erkennen, was da alles drinstecken könnte. (ju)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten